Beschäftigte können Anspruch auf Schadenersatz haben, wenn Arbeitgeber personenbezogene Daten innerhalb eines Konzerns an eine andere Gesellschaft übertragen. Das gilt auch, wenn eine HR-Management-Software vor der Einführung getestet wird. Das hat das Bundesarbeitsgericht (BAG) am Donnerstag klargestellt.
Vordergründig ging es in dem Fall um immaterielle Schadensersatzforderungen, die ein Programmierer, der seit etlichen Jahren für einen international agierenden Anbieter für Zahnmedizintechnik arbeitet, gegen seinen Arbeitgeber geltend machte. Stein des Anstoßes war dabei die konzernweit ab 2017 geplante Einführung des cloudbasierten Personalinformations- und HR-Managementsystems Workday.
Im April forderte der Mann, der zugleich Vorsitzender des Betriebsrats war, ihm gemäß der seinerzeit geltenden Bestimmung im Bundesdatenschutzgesetz (§ 34 BDSG a.F.) Auskunft darüber zu geben, welche Daten von ihm in Workday gespeichert würden. Das machte er später auch gerichtlich geltend.
Mehr Daten übermittelt als in Betriebsvereinbarung geregelt
Im Juli 2017 schlossen die Betriebsparteien eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ zur Vorbereitung inklusive Testbetrieb der Software. Die legte nach Gerichtsangaben in einem Anhang fest, dass von Beschäftigten bestimmte Daten an die in den USA ansässige Konzernzentrale übermittelt würden, um das System zu befüllen, nämlich
- Personalnummer,
- Vor- und Nachname
- Private und dienstliche Telefonnummer sowie geschäftliche E-Mail-Adresse
- Eintrittsdatum im Betrieb beziehungsweise Konzern sowie
- Arbeitsort.
Tatsächlich aber hatte der Arbeitgeber – das stellte sich später heraus – zwischen April und Mai auch weitere Angaben nach Übersee übermittelt, nämlich
- Gehaltsinformationen (Grundgehalt und leistungsbezogene Vergütung)
- Privatanschrift
- Geburtsdatum, Alter und Familienstand sowie
- die Sozialversicherungsnummer und Steuer-ID.
Nach aus seiner Sicht unzureichenden Antworten auf sein Auskunftsverlangen und dem zwischenzeitlichen Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 verlangte der Arbeitnehmer Schadensersatz in Höhe von 3.000 Euro wegen unerlaubter Datenübergabe sowie eine eidesstattliche Versicherung des Unternehmens über Art und Umfang der von ihm in Workday hinterlegten Angaben.
Verstoß gegen DSGVO bei Datentransfer vor Inkrafttreten?
Dem widersprach der Arbeitgeber mit dem Argument, ein Schaden im Sinne von Art. 82 DSGVO („Haftung und Recht auf Schadenersatz“) entstehe „nicht schon bei jeder Unannehmlichkeit ober bei Bagatellverstößen, ohne eine ernsthafte Beeinträchtigung für das Selbstbild oder das Ansehen einer Person“. Zudem sei der Anspruch mehr als fraglich, da der Daten-Transfer vor Geltung der DSGVO erfolgt sei.
Sowohl das Arbeitsgericht Ulm als auch das Landesarbeitsgericht (LAG) Baden-Württemberg verwarfen die Forderungen des Mannes. Laut LAG ist zwar die Verarbeitung anderer als der in der Betriebsvereinbarung (BV) genannten „personenbezogenen Daten rechtswidrig“. Für eine Haftung sei jedoch erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden ist. Das aber sei hier nicht der Fall, da im Konzern zwischenzeitlich Auftragsdatenverarbeitungsverträge geschlossen worden waren.
Der Programmierer gab trotzdem nicht auf und legte Revision beim BAG ein. Das wiederum entschied zunächst nicht in der Sache und fragte beim Europäischen Gerichtshof (EuGH) unter anderem an, ob in Betriebsvereinbarungen etwaige Gestaltungsspielräume im Hinblick auf Datenschutz bestünden, die „gerichtlich nur eingeschränkt überprüfbar“ sind. Nachdem der EuGH Ende 2024 geurteilt hatte, dass in einer BV auch die allgemeinen Vorgaben wie Art. 5, 6 und 9 DSGVO einzuhalten sind und die Verarbeitung personenbezogene Daten „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (,Datenminimierung‘)“ muss, ging der Fall zurück nach Erfurt.
Dort entschieden die Richterinnen und Richter nun abschließend, dass dem Mann Schadenersatz von 200 Euro zusteht.
Mit unserem HR-Software Guide erhalten Sie ein praxisnahes Nachschlagewerk rund um Software und IT im Personalbereich mit Themen wie Integriertes HCM, Talent Management, E-Learning, Personaladministration, Zeit & Zutritt und Social Collaboration.
Zur Begründung schreibt der Senat in einer Mitteilung, dass die Übertragung der Daten „nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO“ war und damit gegen die Datenschutz-Grundverordnung verstieß. Deshalb sei dem Kläger ein immaterieller Schaden „durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust“ entstanden.
Keine Entscheidung erging hingegen zu der Frage, „ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden“.
Bundesarbeitsgericht, Urteil vom 8. Mai 2025, Az. 8 AZR 209/21.
Vorinstanzen:
- Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021, Az. 17 Sa 37/20.
- Bundesarbeitsgericht, Urteil vom 22.September 2022, Az. 8 AZR 209/21 (A).
- Europäischer Gerichtshof, Urteil vom 19. Dezember 2024, Rs. C‑65/23.
Info
HR-Verantwortliche sollten nach Ansicht von Experten angesichts der Komplexität datenschutzrechtlicher Vorgaben daher nicht nur bei Großprojekten wie Software-Einführung, sondern auch bei anderen Betriebsvereinbarungen stets einen engen Austausch mit den betrieblichen Datenschutzbeauftragten pflegen.
Frank Strankmann ist Redakteur und schreibt off- und online. Seine Schwerpunkte sind die Themen Arbeitsrecht, Mitbestimmung sowie Regulatorik. Er betreut zudem verantwortlich weitere Projekte von Medienmarken der F.A.Z. Business Media GmbH.
